Синяя команда (компьютерная безопасность)
— Синяя команда это группа людей, которые выполняют анализ информационных систем для обеспечения безопасности, выявляют недостатки безопасности, проверяют эффективность каждой меры безопасности и следят за тем, чтобы все меры безопасности оставались эффективными после внедрения. [1]
История [ править ]
В рамках США по защите компьютерной безопасности инициативы были созданы красные команды для использования других вредоносных объектов, которые могли бы причинить им вред. В результате были созданы синие команды для разработки защитных мер против таких действий красных команд. [2]
Реагирование на инцидент [ править ]
Если инцидент все же произошел внутри организации, синяя команда выполнит следующие шесть шагов, чтобы справиться с ситуацией:
- Подготовка
- Идентификация
- Сдерживание
- Искоренение
- Восстановление
- Уроки выучены [3]
Усиление защиты операционной системы [ править ]
При подготовке к инциденту компьютерной безопасности синяя команда выполнит меры по усилению защиты всех операционных систем организации. [4]
Периметральная оборона [ править ]
Синяя команда должна всегда помнить о периметре сети, включая потоки трафика, фильтрацию пакетов, прокси-брандмауэры и системы обнаружения вторжений. [4]
Инструменты [ править ]
Синие команды используют широкий спектр инструментов, позволяющих им обнаруживать атаки, собирать криминалистические данные, выполнять анализ данных и вносить изменения для предотвращения будущих атак и смягчения угроз. Инструменты включают в себя:
Управление и анализ журналов [ править ]
- AlienVault
- FortiSIEM (он же AccelOps )
- Грейлог
- ИнТраст
- ЛогРитм
- Логподпись
- Microsoft Сентинел
- NetWitness
- Крадар ( IBM )
- Рапид7
- SIEMonster
- СолнечныеВетры
- Спланк
информацией о безопасности и событиями ( SIEM ) Технология управления
Программное обеспечение SIEM поддерживает обнаружение угроз и реагирование на инциденты безопасности, выполняя сбор данных и анализ событий безопасности в режиме реального времени. Этот тип программного обеспечения также использует источники данных за пределами сети, включая индикаторы компрометации (IoC) и анализ угроз .
См. также [ править ]
- Список инструментов цифровой криминалистики
- Управление уязвимостями
- Белая шляпа (компьютерная безопасность)
- Красная команда
Ссылки [ править ]
- ^ Сайприс Электроникс. «DoDD 8570.1: Синяя команда» . Сайприс Электроникс . Архивировано из оригинала 25 апреля 2016 года . Проверено 3 июля 2016 г.
- ^ Джонсон, Роуленд. «Как пентестеры красной команды могут помочь улучшить синюю команду» . Журнал СК . Архивировано из оригинала 30 мая 2016 года . Проверено 3 июля 2016 г.
- ^ Мердок, Дон (2014). Справочник синей команды: издание по реагированию на инциденты (2-е изд.). Независимая издательская платформа reateSpace. ISBN 978-1500734756 .
- ^ Перейти обратно: а б Институт САНС. «Кибер-защитник: Синяя команда» . САНС . Институт САНС . Проверено 3 июля 2016 г.